domingo, 20 de mayo de 2018

Ejecución remota de código en Microsoft PowerPoint para Mac

Se ha descubierto una vulnerabilidad en la forma en que Microsoft PowerPoint para Mac procesa contenido XML, que puede ser explotada para ejecutar código arbitrario si se convence a la víctima para abrir un archivo especialmente diseñado





Microsoft Office es la suite de ofimática por excelencia, de sobras conocido por todos y que requiere poca introducción a estas alturas de la película. Lo que sí es menos conocido, al menos entre los usuarios de Windows, es que dispone de una versión para Mac. De hecho, paradójicamente la primera versión de Microsoft Office se publicó para Mac en 1989, saliendo para plataformas Windows un año después.

La vulnerabilidad que nos ocupa es un clásico en la gama de vulnerabilidades que llevan afectando a Office durante años, y consiste en la posibilidad de ejecutar código arbitrario a través de un archivo especialmente diseñado. Esta vez se debe a un fallo en la forma que PowerPoint tiene de procesar contenido XML incluido en un archivo para este programa. Básicamente, el proceso de formatos de archivo como XML requiere de código bastante complejo, teniendo que procesar muchos casos distintos y sujeto a restricciones de velocidad (no podemos tener a un usuario más de X segundos esperando que se abra un documento). Esto hace que el código que procesa este tipo de formatos sea, simple y llanamente, un lío. Una receta para el desastre.

Identificada como CVE-2018-8176, la vulnerabilidad afecta únicamente a la version de Microsoft Office 2016 para Mac, específicamente a PowerPoint. Como comentábamos, la forma de explotación no tiene nada de especial: crea un archivo manipulado y mándalo por correo, cuélgalo en algún sitio... Y espera a que alguien con Office 2016 para Mac pique. Eso sí, Microsoft especifica que la creación de un archivo especialmente manipulado que pueda explotar esta vulnerabilidad tiene una dificultad bastante grande. Al igual que comenta que no se ha detectado que se esté explotando esta vulnerabilidad por el momento.

Microsoft ya ha publicado en su página oficial una actualización que corrige esta vulnerabilidad.



Carlos Ledesma


Más información:

CVE-2018-8176 | Microsoft PowerPoint Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8176

Security Update
https://go.microsoft.com/fwlink/p/?linkid=831049